Achtung: Neue textbasierte QR-Code-Phishing-Varianten

Sicherheit (Pexels, allgemeine Nutzung)[English]Aktuell ist zu beobachten, dass Phishing-Angriffe immer ausgefeilter werden. Sicherheitsforscher von Barracuda sind auf eine neue Variante zur Gestaltung von Phishing-Nachrichten gestoßen. Diese verwenden QR-Codes aus textbasierten ASCII/Unicode-Zeichen, statt wie üblich aus statischen Bildern erstellt zu werden, um herkömmliche Sicherheitsmaßnahmen zu umgehen.


Anzeige

Textbasierte QR-Code Phishing-Nachrichten und Blog-URIs

Bei Phishing-Mails und -Nachrichten setzen die Absender alles daran, vorhandene Sicherheitslösungen und -Filter zu umgehen. Die Threat-Analysten von Barracuda Networks Inc. sind auf eine neue Generation von Phishing-Angriffen gestoßen.

Die Angreifer arbeiten zwar mit QR-Codes, die die Information zur Weiterleitung auf die Phishing-Zielseite enthalten. Solche Angriffe werden von herkömmlichen Sicherheitsmaßnahmen aber identifiziert und geblockt.

  • Die Angreifer generieren die QR-Codes dabei aus textbasierten ASCII/Unicode-Zeichen, statt, wie üblich, den QR-Code aus Bildpunkten zu erstellen.
  • Weiterhin wurde die Nutzung von Blob-Universal Resource Identifiers (URIs) zur Erstellung von Phishing-Webseiten, die nur schwer als solche zu erkennen sind, beobachtet.

Aus ASCII/Unicode-Blöcken bestehende QR-Codes sehen in einer E-Mail aus wie herkömmliche QR-Codes. Ein auf Bildscans basierendes Erkennungssystem kann sie jedoch nicht als solche identifizieren. Das bedeutet, dass entsprechende Sicherheits-Tools, die nur auf Bildscans basieren, nicht erkennen können, ob ein schädlicher Link in sie eingebettet ist. Bei näherer Betrachtung dieses QR-Codes (siehe folgendes Bild) kann man zwischen den einzelnen Blöcken eine Linie erkennen. Dies liegt daran, dass es sich bei dem QR-Code um kein Bild handelt.

Phishing-Mail mit QR-Code
Phishing-Mail mit QR-Code, Copyright/Quelle: Barracuda Networks


Anzeige

Die Nutzung von Binary Large Objects (Blob)-URIs ermöglicht es Angreifern außerdem, unentdeckt zu bleiben, da ein Blob-URI keine Daten von externen URLs lädt. Dies bedeutet, dass herkömmliche URL-Filter- und Scan-Tools den Inhalt möglicherweise zunächst nicht als schädlich identifizieren können. Da sie dynamisch erstellt werden und schnell verfallen, stellt die Verfolgung und Analyse von Blob-URIs zudem eine Herausforderung dar.

"Die Häufigkeit von QR-Code-Phishing-Angriffen nimmt zu – und da sich auch Sicherheits-Tools entsprechend anpassen, um diese zu erkennen und zu blockieren, nutzen auch die Angreifer neue Methoden", sagt Ashitosh Deshnur, Threat Analyst bei Barracuda. "Bei herkömmlichen QR-Code-Angriffen betten Angreifer schädliche Links in einen QR-Code ein. Sicherheits-Tools scannen das Bild auf bekannte schädliche Links und blockieren sie. Die neue Generation von QR-Code-Phishing-Angriffen versucht, dies zu umgehen, indem sie entweder auf Bildscans basierende Sicherheits-Tools daran hindern, den QR-Code zu lesen, oder indem sie es Erkennungssystemen erschweren, die schädlichen Inhalte zu identifizieren und zu blockieren."

Die Threat-Analysten von Barracuda haben bislang noch keine Fälle identifiziert, bei denen beide Methoden gleichzeitig zum Einsatz kamen. Die dafür verwendeten Methoden werden auf dem Barracuda-Blog beschrieben.


Anzeige

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

30 Antworten zu Achtung: Neue textbasierte QR-Code-Phishing-Varianten

  1. Anonymous sagt:

    > Das bedeutet, dass entsprechende Sicherheits-Tools, die nur auf Bildscans basieren …

    … ihren Job nicht machen.

  2. Wolfgang sagt:

    Hmmm, Texterkennung in Spam-Filtern sucht doch nach Wortmustern, etwa Viagra, Bitcoin, Lottery, Eva-Maria Schaeffler.
    Wenn diese neuen QR-Codes aus dem ASCII-Bestand oberhalb von 127 stammen, dann müsste doch ein Text, der massenhaft davon Gebrauch macht, irgendwie filterbar sein.
    Denke ich mir in meinem laienhaften Verständnis der Thematik.

    • Jens sagt:

      In Zeiten von Outlook, wo z.B. "…", ":-)" oder "-" automatisch beim Tippen in Unicode-Zeichen umgewandelt werden ist das nicht mehr so einfach, insbesondere auch bei Sprachen, die ganz andere Zeichensätze verwenden als deutsch- oder englischsprachige Mails …

    • Pau1 sagt:

      Das Barracuda-Schlangenöl arbeit schlecht.
      Sie müssten jede Email "ausdrucken" und das dann scannen und analysieren um das zu sehen, was der User sieht.
      Das ist aufwendig, klar.

      Peinlich das das Marketing das nicht merkt.

  3. HackIT0 sagt:

    Filtern könnte man es schon. Der Code ist im HTML eingebunden (schon ein Punkt beim Spamfilterung), auf JavaScript-Token wie "function, document." suchen (noch ein Punkt in der Spamfilterung). Auch "blob:https" könnte man in HTML-Test finden, eventuell auch die Zeichen 'Lower Half Block' (0x2584) und 'Full Block' (0x2588) als Merkmal suchen (noch ein Punkt in der Spamfilterung). Ich sehe da mit regulärer Ausdrücken (Regex) keine Probleme auch diesen Spam zu finden.

  4. Daniel sagt:

    Menschen die alle möglichen QR-Codes scannen ohne Rücksicht auf Verluste denen ist eh nicht mehr zu helfen. Ich persönlich habe die Einstellung keine QR-Codes zu scannen weil man bei diesem Verfahren nie weiß was dahinter steckt. Im Prinzip ist ein QR-Code auch nur ein Link zu einer Internetseite. Wenn ich diesen Link im Textformat sehe weiß ich wo die Reise hin geht, beim QR-Code eben nicht und ich kann vorher dubiose Seiten nicht erkennen.

    QR-Codes sind ein Sicherheitsrisiko aber viele erkennen das nicht und machen den Hype mit.

    • Wolf789 sagt:

      Volle Zustimmung,
      wer Pünktchen zur Kommunikation verwendet, ist selbst schuld. Dafür wurde mal vor ein paar tausend Jahren die Schrift erfunden um viele zu erreichen, etwas weiterzugeben oder für die Nachwelt zu erhalten – mit wenigen Zeichen! – nur die Chinesen haben's mit zehntausenden "Bildchen" bis heute nicht ganz geschafft – aber keine Sorge: Auch wir entwickeln uns mit hunderten von Emoys flugs weiter zurück.

    • nook sagt:

      Den letzten QR-Code hatte ich zur Corona Impfung gescannt.

      Den auch nur mit der Privacy Friendly QR-Scanner App vom KIT (Karlsruher Institut für Technologie), Forschungsgruppe Secuso.

      Der weiterführende Link wird deutlich gezeigt und muss bestätigt werden.

      Es lohnt sich dort etwas zu stöbern.

      • Hans van Aken sagt:

        @nook
        Danke. Hier der Link

        https://f-droid.org/de/packages/com.secuso.privacyFriendlyCodeScanner/

        Dieser Tage kam übrigens ein Schreiben von der Barmer Ersatzkasse, darin ein QR-Code, mittels dessen man (mit der Nummer von der Gesundheitskarte) gegen die ePA Einspruch erheben kann. Keine andere Möglichkeit erwähnt. Was bitte sollen Ältere, die nicht Computer-affin sind, machen? Sich die Hacken ablaufen. Ansonsten, so
        die Drohung, automatische Zustimmung. Also, liebe Leute, so geht das nicht.

        Falls demnächst die Supermärkte entscheiden sollten, kein Bargeld mehr anzunehmen, muß ich dann verhungern?
        sozialverträgliches Frühableben, oder was?

        Wir kommen langsam in eine IT-Diktatur, ich denke, in einer Demokratie sollte das Volk schon noch gefragt werden und nicht nur Wirtschaftsinteressen durchgeboxt werden.

        • Pau1 sagt:

          in dem Schreiben der Barmer ist garantiert eine 0800er Nummer enthalten. Viel Spaß in der Warteschleife.

          und ja. Leider wird der Tag kommen an dem niemand mehr nicht diskriminiert wird, der kein Smartphone hat.

        • Daniel sagt:

          Da ruft man freundlich bei der Barmer an dass man keine Smartphone hat und es auch nicht bei anderen machen kann und will. Die sollen einem ein Schreiben schicken wo man das händisch eintragen kann und es zurückschickt. Wo kämen wir denn da hin wenn die bestimmen wie wir es zu machen haben.

        • Herr IngoW sagt:

          Ist es nicht besser vom Original-App-Store zu installieren als von irgendwelchen Seiten?
          https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner&hl=de

          • Hans van Aken sagt:

            Also, der F-Droid Store
            (steht für Freies Android) ist nicht irgendeine Seite, sondern ein hoch
            angesehener Appstore,
            der seit den Anfängen
            von Android von den
            damaligen Entwicklern
            gefördert wurde.
            Damals hieß es noch nicht Android, erst etwa 2008 kaufte
            Google Herrn Rubin das für'n Appel und n Ei ab und erklärte es
            zum eigenen "Betriebs-
            system". Der Hauptanteil von Google war die Kommerzialisierung,
            die "Freien" arbeiteten
            aber bis heute weiter
            daran mit. Android war
            also von Anfang an ein
            offenes System, was man von Apple nicht
            behaupten kann.
            Anbei ein Link zum
            Kuketz-Blog, dort die
            "Empfehlungsecke", wo man über die Sprungmarken zu den
            Google-Alternativen
            u. damit zu F-Droid
            kommen kann (es gibt
            aber auch einen großen Artikel in der
            dt. Wikipedia).
            Mike Kuketz arbeitet u.a. beim Datenschutz-
            beaufzragten Baden-
            Württemberg.

            https://www.kuketz-blog.de/empfehlungsecke/#google-alternativen

        • Clemens53 sagt:

          Ja, QR-Codes sind ein Problem, aber die BARMER betreffend steht geschrieben: "Scannen Sie den nebenstehenden QR-Code. Er führt Sie zu einem Online-Formular, wo Sie der elektronischen Patientenakte widersprechen können. …
          Alternativ geben Sie Ihren Widerspruch unter http://www.barmer.de/online-antwort ab. Ihr persönlicher Antwort-Code lautet ?????
          Dieser sowie der QR-Code sind bis zum 28.02.2025 gültig."
          Auch Postanschrift und FAX-Nr. wurden angegeben. Damit entfällt die Warterei am Telefon.

          • Ralph D. Kärner sagt:

            Wenn man Internet hat.
            Ansonsten entfällt die Warterei am Telefon nicht, denn man muss ja jemanden darüber informieren, dass man dieses Formular gern in papierhafter Ausfertigung in seinem Briefkasten vorfinden möchte.
            Ich kann da Hans' Gedankengang durchaus nachvollziehen. Ich selbst kenne ausreichend Personen, die kein Smartphone haben, sondern ein ganz normales Mobiltelefon mit Tasten. Und Internet zu Hause haben diese Menschen auch nicht.

        • Mikel Friess sagt:

          Mal wieder die armen Rentner. Warum ist denn eigentlich allgemeiner Konsens, dass "Lebenslanges Lernen" mit dem Renteneintritt beendet ist? Und wie lange wollen wir in Deutschland denn noch die Digitalisierng verschlafen weil wir auf die "armen Senioren" warten?

          • Günter Born sagt:

            Der Kommentar ist imho doch arg daneben gegangen.

            Mir ist kein allgemeiner Konsens bekannt, dass nach dem Renteneintritt "Lebenslanges Lernen" beendet wird. Es mag sein, dass einige Leute damit kokettieren, andere es als billige Ausrede nutzen und das Vorurteil natürlich wunderbar gepflegt werden kann. Nur mal so: Gibt Gesetze zur Teilhabe – und es ist bekannt, dass es mit steigendem Alter kognitive Defizite bei der Mehrzahl der Menschen gibt. Aufgabe von Wirtschaft und Verwaltung ist es – so die aktuelle Gesetzeslage – alle Maßnahmen diskriminierungsfrei umzusetzen.

            Und manches ist im höheren Alter auch nicht mehr so wichtig. Hab zwar heute per Radio gelernt, dass auch 80 Jährige noch Tinder nutzen, aber die Masse der Ü50 dürfte da nicht mehr so gierig nach sein – allet Fortschrittsverweigerer?

            Zum "wie lange wollen wir in Deutschland denn noch die Digitalisierung verschlafen weil wir auf die "armen Senioren" warten?" Verschlafen wir wirklich die Digitalisierung, weil wir "auf die armen Senioren warten"? Ich hege doch arge Zweifel! Es scheitert doch an allen Ecken und Enden, weil die Protagonisten keinen Plan für nix haben und Geschwafel mit Fortschritt verwechseln.

            Kein Mensch hätte was gegen Digitalisierung, wenn diese sicher, funktional zuverlässig, wirtschaftlich und sinnvoll umgesetzt würde. Ich blicke jetzt auf 56 Jahre Berufsleben zurück. Die Elektroinstallationen, die ich ab 1969 als Lehrling montiert habe, kannst Du auch heute noch betreiben – so ganz ohne Updates – und wenn ein Schalter kaputt geht, tauschst Du den einfach aus – ist genormt und funktioniert.

            Als Ingenieurstudent habe ich ab 1976 gelernt, dass ich in Berechnungen für Brücken, Stabwerke, Getriebe oder andere Maschinenelemente feste Regeln, Sicherheitsvorschriften und Auslegungsmargen berücksichtigen muss. Hab dann nach dem Ausscheiden aus meinem ersten Job mit großem Erstaunen realisieren müssen, dass meine Konstruktionen von Prüfanlagen für den Flugzeugbau – hielt ich selbst für grottenschlecht – 25 Jahre in der Produktion im Einsatz waren – die Ingenieursregeln, die ich gelernt und angewandt hatte, haben gehalten und einen Betrieb sichergestellt. Ein freier Ingenieur oder Statiker muss für seine Gewerke bis zu 30 Jahre haften.

            Die IT habe ich dann (insight) kennen gelernt, als ich an der Schnittstelle der Automatisierungstechnik zur kommerziellen IT tätig war. Hab mir seinerzeit nebenberuflich einige Semester Informatik gegönnt, um die ITler zu verstehen. Ich verstehe zwar die Sprache der ITler, und ich ziehe auch meinen Hut vor Leuten wie Dijkstra, Knuth, Tanenbaum etc. die die Theorie für große Teile der Informatik erarbeitet haben. Aber das, was heute als IT abgeliefert und als Digitalisierung verkauft wird, sehe ich in weiten Teilen (zumindest aus dem Blick des Ingenieurs) als Scharlatanerie an. Es hat vor über 30 Jahren schon regelmäßig geknallt, wenn ich mit den Informatikern zusammen gerasselt bin, die mal eben irgend etwas mit 4G-Generatoren als Lösung schnitzen wollten, was dann aber nie oder höchstens mehr schlecht als recht funktionierte, während ich auf der anderen Stelle dafür verantwortlich war, dass die Steuer- und Regeltechnik sowie die SCADA-System über Dekaden zuverlässig liefen. (Gab von mir konzipierte Systeme, die nach 25 Jahren außer Betrieb gingen). Die Informatiker haben uns diesbezüglich imho in die größte Krise der Technik seit einem Jahrhundert geführt.

            Zurück zum Kern: Und nun sollen "die armen Rentner" schuld sein, weil die IT nix in Sachen Digitalisierung auf die Reihe bekommt? Genau mein Humor.

            • Hans van Aken sagt:

              @ Mikel Friess

              Da bin ich aber froh, daß Du das mit dem lebenslangen Lernen erkannt hast.
              Also, das war seinerzeit
              1969, als ich im ersten
              Semester an der Uni Münster war, auch unser
              Lebensmotto, und wenn Du meine Beiträge hier und vielleicht anderswo
              anschaust, dann wirst Du
              ja wohl zugeben müssen,
              daß das ganz gut geklappt hat. Bin sehr
              für kritisches Denken, nur
              habe ich bei manchen der
              heutigen Studierenden oft den Eindruck, daß da
              mehr der Traum vom großen und vor allem
              schnellen Geld im Vorder-
              grund steht: amerikanische Verhältnisse: sollen wir das wirklich wollen?
              Einfach ganze Bevölkerungsgruppen
              übelst zu diskriminieren,
              was soll das? Du wirst
              auch älter, das ist nun mal der Lauf der Dinge,
              und wahrscheinlich wirst
              Du noch einige Jahre älter als wir, stelle ich mir
              nicht besonders lustig vor. Aber vielleicht produziert die momentane Weltuntergangs-
              stimmung solch jugend-
              lichrs Aufbegehren.
              IT ist, wenn's funktioniert
              nichts weiter als ein
              Werkzeug, ein sehr mächtiges zwar, aber mit
              vielen Mißbrauchsmöglichkeiten. Derzeit eher letzteres:
              alle veruchen, sie dafür
              zu nutzen, noch mehr Geld mit noch weniger
              Menschen zu machen:
              Banken, Einzelhandel,
              Bürokratie. Kategorien
              wie Glück und Zufrieden-
              heit passen da anscheinend nicht rein.
              Alle ein Elon Musk…
              Und noch nichtmal der
              ist glücklich.
              Die Pennsylvania Uni,
              an der Musk ja mal
              studiert hat (Wirtschaft,
              einer meiner Neffen lehrt
              dort) rühmt sich ja, die
              meisten Milliardäre hervorgebracht zu haben.
              Stanford hingegen (wo
              dieser und ein weiterer
              Neffe studiert haben) gibt
              damit an, die meisten
              Nobelpreisträger produziert zu haben.
              Einer von den Dreien ist
              im Computerbusiness
              in San Francisco.
              Das Right of Happiness
              steht in der amerikanischen Verfassung. Ob sie's schaffen? Glücklich zu sein?

    • Jens sagt:

      > Im Prinzip ist ein QR-Code auch nur ein Link zu einer Internetseite
      QR-Codes sind eine andere Darstellung für reinen Text, dieser kann dann je nach Interpretation Links, Email-Adressen darstellen oder auch andere Informationen enthalten, z.B. Kontaktinformationen (Visitenkarten). Oder die Zugangsdaten zu einem WLAN …

      > QR-Codes sind ein Sicherheitsrisiko aber viele erkennen das nicht
      > und machen den Hype mit.
      QR-Codes, die Links enthalten, sind genau das gleiche Sicherheitsrisiko wie andere Links auch.
      Das Sicherheitsrisiko sind die Äpps, die solche Links nach dem Scannen ohne Rückfrage aufrufen.

    • Ste sagt:

      also ich lese die Codes regelmäßig. Nutze dazu seit Jahren die "Cognex Barcode Scanner" App. Die zeigt das gelesene dann an. Ob es dann ein Link, ein Text, eine vCard oder sonst was ist sieht man dann. Und dann entscheide ich noch immer ob ich einem Link folge oder den Link nur kopiere und Teile davon nutze.

      QR-Codes sind wie Barcodes in der Industrie seit Jahrzehnten nicht mehr wegzudenken.

      Wobei ich noch nie einen Barcode in Mails genutzt habe. Nur auf Papier, Metall, usw.

  5. Pau1 sagt:

    Die bauen den QR Code nicht aus "Text" Zeichen zusammeb, wie oben der Eindruck erweckt wird, sondern verwenden die altbekannten sog. "Semigrafik". Das lese ich aus dem Original Beitrag.

    Die Beschreibung oben klingt z.Zt. nach sog. ASCII-Art.
    Da werden Bilder aus den unteren 128 druckbaren Textzeichen gerendert. Ausgedruckt und aus der Ferne betrachtet gibt es ein pixeliges Bild.

    Es ist ein bedauerlicher Trend, das Überschriften mehrdeutig bis falsch gewählt werden um User Neugierig zu machen den Text zu lesen. Das lief früher anders. Schade das auch hier beobachten zu müssen.

  6. Pau1 sagt:

    Im Original Artikel steht nichts von "textbasiert".
    Dort steht Klipp und Klar "Acsii Block Zeichen".
    Das was man als "Semigrafik" aus Urzeiten kennt, aber auch Teil des ASCII Zeichensatzes…aber evend genau kein Text.

    Was soll es Leser so in die Irre zuführen?

    mal sehen ob dieser Text die Moderation durchsteht.

    • Anonymous sagt:

      Acsii Block Zeichen sind eine textbasierte Darstellungsart.

      Alles bestens.

    • Ralph D. Kärner sagt:

      Hast Du heute Morgen versehentlichen koffeinfreien Kaffee gehabt? Atme mal locker durch. ASCII ist Text. Schon immer. Und damit stimmt alles, auch wenn so ein halber oder ganzer Block nicht wie ein Text aussieht.

  7. Froschkönig sagt:

    Das ist die Rückkehr der Blockgrafik, wie seinst auf den 8-Bit-Heimcomputern von Commodore, Atari, Sinclair ud vielen anderen Herstellern üblich war. Die vernehrte Verwendung von ASCII-Zeichen für schwarzen und weißen Block müsste man doch in einem Spamfiltzer erkennen können.

  8. squat0001 sagt:

    Das gehört halt zu den vielen Problemen welche durch MIME EMail entstehen. Ist nur eine weitere Variante Inhalt zu verstecken.

  9. Rene sagt:

    Wir haben vor ein paar Tagen auch vermehrt Mails bekommen, die "vermutlich" alle einen QR-Code eingebunden hatten.
    Bei fast allen war aber das Nachladen von Inhalten blockiert und somit war die Mail eine fast leere Seite.
    Bis auf den einen Mitarbeiter.
    Aber er war so geistesgegenwärtig, nichts zu machen und die Mail als Spam zu melden.

    Will sagen, dass das Nachladen von Inhalten zu unterbinden einen riesigen Sicherheitsgewinn darstellt.

  10. viebrix sagt:

    Die Sicherheitssoftware müsste doch nur auf die Screenshots von Recall zugreifen :-b

  11. der bug ist das ziel sagt:

    da weiss man garnicht wo man anfangen soll. vom ende her aufgerollt ist es doch die absolute unwissenheit der internet nutzer heutzutage oder technik unwissenheit was domain namen sind und was die domains und URLs sind die man so surfen will, die die dienstleister von einem sind die valide webseiten sind an denen man regelmaessiges interesse hat usw

    und was eben fremde domain namen, unbekannte firmen und unbekannte lieferanten oder adressen sind die man zuvor noch nie gesurft hat usw.

    wisse wer du bist. und was du sonst nicht warst oder machst das mache im zweifelsfall auch jetzt nicht

    ist alles kein hexenwerk bloss heute ist der wissenstand der bevoelkerung immer geringer

    it und elektronik industrie ist absolut zu consumer und entertainment verkommen und leute haben absolut kaum noch n wissen ueber irgendwas.

    enjoy

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.